SSL接続の使用

StudioをSSL対応のDataStax Enterpriseクラスターに接続する手順。

始める前に

  • SSLがクラスターで構成され、有効になっている必要があります。以下に関する詳細については、「SSLの構成」を参照してください。
    • クライアントとノード間の暗号化
    • ノード間の暗号化
    • サーバーの証明書の作成
  • Java Cryptography Extension(JCE)をご使用のクライアント・システムにインストールします。「JCEのインストール」を参照してください。

    DataStax Enterprise用のJava 8をダウンロードします。

    インストール・ディレクトリー(jre lib/security):

    • Linux:/usr/lib/jvm/jdk1.major.minor_update/jre/lib/security
    • Mac OS X:/Library/Java/JavaVirtualMachines/jdk1.major.minor_update/Contents/Home/jre/lib/security
    • Windows:C:\Program Files\Java\jre7\lib\security

    ダウンロードしたファイルを解凍し、UnlimitedJCEPolicyディレクトリーの内容をjre/lib/securityディレクトリーにコピーします。

  • keytoolコマンドで暗号化キーを管理します。
    注: keytoolコマンドがWindowsシステムで見つからない場合は、こちらの手順をお読みください。

手順

サーバー検証

  1. サーバー検証を実行するには、クライアントは、ローカル・トラストストア・ファイルに格納されたクラスター内の各ノードの公開鍵証明書を取得する必要があります。このファイルはパスワードで保護されています(keytoolにより、パスワードの作成を求めるプロンプトが表示されます)。トラストストア・ファイルとパスワードを[Create Connections]ダイアログ・ボックスに入力します(以下を参照)。
    1. keytoolを使用して、クラスター内の各ノードから公開鍵証明書をインポートして、クライアント上にトラストストア・ファイルを作成します。
      keytool -import -v -trustcacerts -alias node0 -file node0.cer -keystore .truststore & keytool -import -v -trustcacerts -alias node1 -file node1.cer -keystore .truststore & keytool -import -v -trustcacerts -alias node2 -file node2.cer -keystore .truststore
    2. Studioのメイン・メニューで[Connections]を選択して、[Browse Connections]ページを開きます。
    3. [+]ボタンを選択して接続を追加します。
      [Create Connection]ダイアログが表示されます。
    4. [Use SSL]チェックボックスをオンにします。
      さらにフィールドが表示されます。
    5. トラストストア・ファイルとトラストストア・パスワードへのパスを追加します。
    6. [Test]を選択して、DataStax Enterpriseのノードに正常に接続できることを確認します。

クライアント検証

  1. クラスターでクライアントの検証が必要な場合は、次の追加の手順を実行する必要があります。
    1. クライアント・ホスト(つまり、Studioがインストールされているシステム)用のSSL証明書を作成します。
      keytool -genkey -alias client-host -keystore .keystore
    2. クライアント証明書をエクスポートします。
      keytool -export -alias client-host -file client-host.cer -keystore .keystore
      公開証明書はclient-host.cerファイルに格納されています。
    3. 公開証明書をコピーし、Studioを接続するDataStax Enterpriseクラスターのすべてのノード上のトラストストアに証明書をインポートします。
      keytool -import -v -trustcacerts -alias client-host \ -file /tmp/client-host.cer -keystore /var/tmp/.truststore
      注: クラスター・ノードのトラストストア・ファイルを変更するための適切なパーミッションがない場合は、クラスターの管理者に問い合わせる必要が生じることがあります。
    4. Studioで、[…] > [Edit]の順に選択して接続を編集します。
    5. キーストア・ファイルとキーストア・パスワードの場所を入力します。
      キーストアのファイルパスまたはパスワードが正しくない場合は、[Edit Connection]にエラーが表示されます。
    6. [Test]を選択して、接続を検証します。
    7. [Edit Connection]ダイアログの下部にある[Save]をクリックして接続を更新します。
      これでStudioを有効にして、SSL対応クラスターと通信できるようになります。